Siber Güvenlikte Log Analizi: Hata, Saldırı ve Şüpheli Trafik

Log analizi, güvenlik olaylarını anlamanın en pratik yollarından biridir. Bir saldırı, brute force denemesi veya hatalı yapılandırma çoğu zaman loglarda iz bırakır.

Öğrenme Hedefleri

• ▸Web sunucusu loglarını okumak
• ▸Status code desenlerini yorumlamak
• ▸Şüpheli login denemelerini fark etmek
• ▸Linux komutlarıyla hızlı filtreleme yapmak
• ▸Olay müdahalesi için ilk notları çıkarmak

Access Log Nedir?

Nginx access log satırı genelde IP, tarih, metod, path, status code ve user-agent bilgisi içerir.

192.168.1.10 - - [20/Jun/2026:10:00:00 +0300] "GET /admin HTTP/1.1" 401 532

Bu satır /admin isteğinin 401 döndüğünü gösterir.

Status Code Desenleri

Tek bir 404 normal olabilir. Kısa sürede yüzlerce 404 path taraması anlamına gelebilir.

Grep ile Hızlı Analiz

grep ' 401 ' /var/log/nginx/access.log | tail -n 50
grep 'POST /login' /var/log/nginx/access.log
grep ' 500 ' /var/log/nginx/access.log

IP bazlı sayım:

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head

Şüpheli Belirtiler

• ▸Çok kısa sürede aynı IP'den çok fazla istek
• ▸/wp-admin, /phpmyadmin, /.env gibi path denemeleri
• ▸Login endpointine yoğun POST
• ▸500 hatasında ani artış
• ▸Bilinmeyen user-agent

Olay Notu Nasıl Tutulur?

Basit format:

Tarih:
Kaynak IP:
Hedef path:
Status code:
Tekrar sayısı:
İlk aksiyon:

Bu notlar daha sonra rapor veya incident kaydı için kullanılır.

Alıştırma

Bir access log dosyasında:

• ▸En çok istek atan 5 IP'yi bul
• ▸500 hatalarını listele
• ▸Login denemelerini say
• ▸Şüpheli pathleri not al

Sonraki Adım

Web açıklarını anlamak için OWASP Top 10, genel güvenlik yolu için Siber Güvenliğe Başlangıç serisine geç.